人们经常问我,一个好的安全计划是什么。我多么想指出我的安全外围中的一个方面来用作例子,但有多个项目需要突出。
Attestations 并不总是衡量您的防御姿态
根据定义,证明是表明某事明显的指示。在安全的情况下,特别是安全程序方面,这意味着以官方身份进行认证。
人们经常问我什么是好的安全程序。尽管我想指出我的安全周边的一个方面作为例子,但有多个项目需要强调。该行业依赖于证明和认证来衡量您的安全防御。工程师和操作员会告诉您,您的实际安全周边和威胁评估能力定义了您的安全程序。我会告诉您,测量的合规证明和您的安全团队的操作能力共同定义了您的程序。不过,仅凭证明并不是衡量程序的准确基准。
证明是行业必需,以确保遵守联邦、地方和州法规以及行业最佳实践。ISO、NIST或DoD标准构成了大多数证明的基础。例如,NIST发布了一套标准和技术指南,帮助组织建立对政府“可接受”的周边防御。然而,正如我将要概述的那样,仅仅因为标准已设定,并不意味着实施总是优秀的。
部署一个工具不意味着它正在提供价值
评估整个Cloud Security Program
首先,你应该至少审查声明和调查报告,而不是执行摘要。这将为您提供第三方审查的程序概览。其次,你应该确定地查看公司是否进行第三方渗透测试或漏洞奖励计划。个人而言,我不太喜欢漏洞奖励,但我每年都支持第三方渗透测试。渗透测试为您提供结构化的防御测试和关于漏洞的真实反馈。最后,审查公司用于实施的安全文档(通常是目录)。这包括(但当然不限于)安全政策、事件响应和漏洞管理。有经验的安全团队会主动提供这些文件和材料,作为正常业务的一部分。
我通常会从公司数据访问的角度评估每个供应商和合作伙伴。也就是说,如果合作伙伴或供应商管理公司数据,他们会受到比不管理数据的供应商更多的审查。在评估安全计划时请记住业务目的。我会审查业务目的和所涉及信息的类型,然后从该角度进行评估,而不是以相同的方式对待所有合作伙伴和供应商。如有疑问,请始终要求更多信息。
